Advertorial: Backup und Archiv im Zeichen der EU-DSGVO

Der Hype um den 25. Mai ist erst einmal überstanden. Die meisten Unternehmen dürften sich rechtzeitig gegen Abmahnungen gerüstet haben. Jenseits der Deadline stellen sich nun die konkreten Fragen: Wie kann ich mittelfristig die Auflagen der EU-DSGVO umsetzen? Und wie beeinflusst die EU-DSGVO meine Backups und mein Archiv?

von Hannes Heckel, FAST LTA

Die drei Hauptanforderungen der DSGVO betreffen primär die Speichersysteme, die zur Datensicherung eingesetzt werden – also Backup und Archiv (Grafik: FAST LTA).Die Hauptforderung der EU-DSGVO ist der erweiterte Schutz der Privatsphäre einzelner Personen. Dies umfasst im Wesentlichen drei Punkte, die unterschiedliche Auswirkungen auf Unternehmen haben:

1. Schutz vor Datenverlust und -Missbrauch

Daten mit personenbezogenen Angaben dürfen nicht verloren gehen oder in nicht autorisierte Hände fallen. Wer solche Daten erhebt und speichert, muss dafür sorgen, dass dies nicht passiert – nach »Stand der Technik«.

Dies betrifft sowohl Backups als auch Archive. In beiden Bereichen muss vermieden werden, dass (personenbezogene) Daten verloren gehen, etwa durch menschliches Versagen, Manipulation (Ransomware) oder technische Ausfälle.

2. Auskunftsrecht

Wessen personenbezogene Daten gespeichert wurden, hat ein Recht auf Auskunft darüber, zu welchem Zweck, wie lang und wo die Speicherung erfolgt. Dabei gelten die Grundsätze von »Privacy by Default« und »Privacy by Design«. Es dürfen nur die zum eindeutigen Zweck notwendigen personenbezogene Daten gespeichert werden, und nur so lange wie für den Zweck notwendig ist. Systeme und Prozesse müssen so angelegt sein, dass dieses Vorgehen nachvollziehbar ist.

3. Recht auf Löschung

Die vielleicht umstrittenste Regelung ist das »Recht auf Löschung«. Der Begriff suggeriert, dass jeder die vollständige Löschung seiner personenbezogenen Daten verlangen kann – was grundsätzlich auch stimmt. Es gibt jedoch wichtige Einschränkungen. Zum einen muss die Löschung zwar »unverzüglich«, aber eben nicht sofort erfolgen – »unverzüglich« ist dabei im juristischen Sinne wörtlich als »ohne selbstverschuldeten Verzug« zu interpretieren. Zum anderen sind gesetzliche Aufbewahrungsfristen einzuhalten, die im Regelfall stärker sind als das Recht auf Löschung. Die betroffene Person hat dabei ein Recht darauf zu erfahren, zu welchem Zeitpunkt die entsprechenden Daten gelöscht werden (können), was je nach Gesetzeslage durchaus mehrere Jahre in der Zukunft liegen kann.

Die Auswirkungen auf Backup und Archiv

Alle drei Hauptanforderungen betreffen primär die Speichersysteme, die zur Datensicherung eingesetzt werden – also Backup und Archiv. Daten müssen demnach sicher, auffindbar und (nach Einhaltung gesetzlicher Fristen) löschbar gespeichert werden. Im Spannungsfeld zwischen diesen Anforderungen, den Kosten und der Komplexität von IT-Infrastruktur gilt es für IT-Verantwortliche, die richtigen Systeme auszuwählen.

Ein Backup ist kein Archiv: gilt mehr denn je

Weit verbreitet ist immer noch die Praxis, Backup-Instanzen als Archiv zu betrachten. Diese Strategie ist aus mehreren Gründen zu hinterfragen – auch hinsichtlich der EU-DSGVO:

• Aufblähung des Backups: Mit den stark ansteigenden Datenmengen werden Zeit und Speicherplatz für Backups immer größer. Je nach verwendeter Software hat das auch Einfluss auf die Kosten durch Lizenzen – mehr Daten, höhere Kosten.
• Unauffindbarkeit einzelner Datensätze: Je umfangreicher die Backups werden, desto schwieriger ist es, die Speicherorte einzelner Datensätze exakt zu lokalisieren und diese bei Bedarf zu löschen. Inkrementelle Backups bauen aufeinander auf und sind üblicherweise über mehrere Datenträger verteilt. Full-Backups sind in den seltensten Fällen als Flat-File angelegt, sondern als komplettes Set gespeichert – das sich je nach Größe ebenfalls über mehrere Datenträger erstreckt. Dies steht den Rechten auf Auskunft und Löschen entgegen, ebenso den Privacy-Grundsätzen.
• Unflexible und unsichere Technologien: Backups basieren meist auf einer Kombination aus einem NAS und einem Tape-Speicher. Typische (günstige) NAS-Systeme skalieren relativ schlecht. Der zwingende Einsatz von Datenträgern aus identischer Serie erhöht das Risiko für korrelierte Ausfälle. Bit-Rot und Unrecoverable-Read-Errors (URE) können einen Restore unmöglich machen. Zudem sind Rebuild-Zeiten bei heutzutage üblichen Festplattenkapazitäten zunehmend lang und systembelastend. Tape-Speicher skalieren zwar »unendlich«, funktionieren jedoch systembedingt mit langen Zugriffszeiten rein linear. Moderne Recovery-Methoden (bei Veeam z.B. InstantRecovery) sind dabei nicht möglich. Tapes müssen regelmäßig vollständig überprüft bzw. umkopiert werden, um einem schleichenden Datenverlust vorzubeugen, der zwangsweise zu scheiternden Restores führt. Es liegt keine Redundanz vor, es sei denn, es werden mehrere Kopien angefertigt.

Aus diesen Gründen wird schon seit längerem empfohlen, Produktiv- und Archivdaten möglichst früh zu trennen und für die Sicherung Speichersysteme mit integrierter Datensicherung zu verwenden, wie z.B. Gartner im Report How to Cut Data Protection Costs for Disk-Based File Archives, 19. September 2016 (nicht öffentlich) ausführt.

Die Neuausrichtung der Speicher-Infrastruktur

Entscheidend sind dabei – entsprechend den obigen Ausführungen – folgende Kriterien:

• Verkürzung des Backups auf ein Minimum, was Aufwand und Kosten spart. Das Backup selbst sollte sowohl schnellen, ständig verfügbaren Online-Speicher als auch kostengünstige, offline-fähige Medien unterstützen.
• Möglichst viele Daten frühzeitig in ein jederzeit skalierbares File-basiertes Archiv ablegen, was die Auffindbarkeit von Daten und die Möglichkeit, einzelne Datensätze zu löschen, vereinfacht.
• Flexible, moderne Technologien, die über genügend interne Sicherheitsreserven verfügen. Eine Replikation an einen zweiten Standort sollte zur Absicherung gegen Komplettausfall und Verlust leicht möglich sein.
• Zusätzlich sollte das Archivsystem über eine Möglichkeit verfügen, als revisionssicherer Speicher Daten mit Aufbewahrungsfristen zu versehen und gegen vorzeitiges Löschen sowie Manipulation wirkungsvoll zu schützen, beispielsweise durch WORM-Versiegelung. Die Zertifizierung sollte möglichst ohne Einschränkungen und Hintertüren gelten und auch das Löschen von Daten enthalten.

Idealerweise stehen alle Anforderungen innerhalb eines einzigen Systems zur Verfügung, das flexible Technologien kombinieren kann, um die unterschiedlichen Vorgaben zu erfüllen. Die Auswahl zwischen schnellen Flash- und kostengünstigen Festplattenspeichern, die Konfiguration als NAS oder VTL, einstellbare Sicherheit jenseits von RAID, und die Möglichkeit der Offline-Lagerung und des Transports einzelner Datenträger, sowie die Ausstattung der langlebigen Infrastruktur mit langfristigen Wartungsverträgen sind dabei zu berücksichtigen.